大工网安告[2024]010

一、 情况分析

泛微协同管理应用平台e-cology是一套兼具企业信息门户、知识文档管理、工作流程管理、人力资源管理、客户关系管理、项目管理、财务管理、资产管理、供应链管理、数据中心功能的企业大型协同管理平台。

近日，泛微e-cology9 WorkflowServiceXml SQL注入漏洞(QVD-2024-26136)在野利用行为，在默认配置下，未授权攻击者可利用该漏洞执行任意SQL语句，从而造成任意命令执行。鉴于该漏洞影响范围较大，建议尽快做好自查及防护。

威胁类型：命令执行。

技术类型：SQL注入。

利用条件：无。

危害描述：在默认配置下，未授权攻击者可利用该漏洞执行任意SQL 语句，从而造成任意命令执行。

二、 影响版本

泛微e-cology9 < 10.64.1

目前，已成功复现泛微e-cology9 WorkflowServiceXmlSQL 注入漏洞(QVD-2024-26136)，截图如下：

三、 处置建议

目前官方已发布安全补丁，建议受影响用户升级至最新版本：

泛微e-cology 9 >= 10.64.1

官方补丁下载地址：

https://www.weaver.com.cn/cs/securityDownload.html